O boletim do Observatório de Cibersegurança, hoje divulgado, avança que no primeiro semestre deste ano foram registados 847 incidentes pelo Centro Nacional de Cibersegurança (CERT.PT), quando no mesmo período de 2020 se verificaram 689 e, em 2019, ocorreram 378.
O documento precisa que, em 2021, houve um aumento de 23% em relação a 2020 e de 124% em relação a 2019, tendo sido os meses de abril de 2020, com 150 incidentes, e de fevereiro deste ano, com 190, os que registaram valores mais elevados e aqueles que também evidenciam maiores níveis de confinamento social devido à pandemia de covid-19.
“A primeira metade de 2020 foi um período que mostrou de forma clara os efeitos do confinamento social na cibersegurança. A partir de março, o número de incidentes registados pelo CERT.PT aumentou para níveis ímpares. Ainda que tenha posteriormente ocorrido uma descida, não se voltou aos níveis pré-pandemia. O primeiro semestre de 2021 reforçou esta ideia, com valores ainda mais elevados e com picos paralelos aos momentos de maior confinamento social”, precisa o boletim.
O Observatório de Cibersegurança indica também que os períodos de estado de emergência (de março a maio de 2020 e de novembro de 2020 a abril de 2021) coincidem com “as curvas ascendentes em termos de registos de incidentes por parte do CERT.PT”.
Segundo o mesmo documento, o ‘phishing’ (técnica de crime cibernético que usa fraude, truque ou engano para manipular as pessoas e obter informações confidenciais) continua a ser o tipo de incidente mais frequente entre os registados pelo CERT.PT, seguido de “engenharia social”.
No primeiro semestre, o ‘phishing’ atingiu 40% dos incidentes, enquanto no mesmo período de 2020 correspondeu a 38%, e a “engenharia social” passou de 0,4% do total no primeiro semestre de 2020 para 13% este ano.
“Os lugares de destaque do ‘phishing’ e da engenharia social mostram a importância do fator humano. O ‘phishing’ é uma forma de manipulação que conduz os utilizadores a partilharem informação sensível. Uma das técnicas mais usadas pelos atacantes é o argumento da autoridade, isto é, a simulação da identidade de uma entidade com autoridade suficiente para não levantar suspeitas”, refere o boletim, dando conta que o setor mais visado por esta estratégia em Portugal é a banca.
Os casos categorizados como “engenharia social” pelo CERT.PT mais comuns este ano foram a ‘sextortion’ (49%), a CEO Fraud (12%), a tentativa de burla mediante caso fictício de herança (11%) e a burla através da plataforma MBWay (7%), estando relacionado em qualquer um destes casos o fator humano em que é através da manipulação das pessoas que os atacantes procuram obter um ganho.
O Observatório de Cibersegurança explica que a ‘sextortion’ é uma extorsão com base na ameaça de exposição de supostas imagens íntimas, a CEO Fraud ocorre quando alguém se faz passar pela chefia de uma organização, solicitando uma transferência bancária a um subordinado, a burla mediante caso fictício de herança procura ganhos com a promessa de dinheiro e os casos de uso da MBWay dizem respeito a supostos compradores que conduzem vendedores online a transferir dinheiro indevidamente.
“A importância do fator humano em pelo menos 53% dos incidentes registados no 1.º semestre de 2021 (40% de ‘phishing’ + 13% de engenharia social) coloca a hipótese de o confinamento social correlacionar-se de alguma forma com estratégias de ataque que exploram este vetor”, salienta o boletim.